| 1.1, Аноним (1), 09:03, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
> Arch Linux перевёл iptables на бэкенд nft по умолчанию
А чего они так долго с этим тормозили то? Впрочем нынче пора уже nft освоить, для мало-мальски продвинутых рулесей он куда лучше.
| | |
| |
| 2.2, User (??), 09:20, 06/04/2026 [^] [^^] [^^^] [ответить]
| –16 +/– |
Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?
Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и сам прекрасно едет, opensnitch какой тоже сам справляется...
| | |
| |
| 3.39, Аноним (39), 12:46, 06/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Ээээ... а их в арчелинуксах кто-то руками пишет? А зОчем?
Затем что всякий кастом по другому особо и не получится. Странно.
> Что у арчевода на дЫсктопе (Про "на сервере в продакшУн" н-нинада) может
> быть такого, что потребует аж прям ручной пилёжки iptables? Доскер-через-доскер и
> сам прекрасно едет, opensnitch какой тоже сам справляется...
Весь этот печальный корпоративный крап никак не поможет при более-менее кастомных нуждах. И к тому же одуплять в автогенеренное спагетти iptables куда менее эпично.
| | |
| |
| 4.56, User (??), 14:52, 06/04/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
- Деточка, да что ж ты такого на компьютере-то делаешь?
- Программы!
- К-какие?
- Разные! Не такие, как ты111 Кастомный кастом кастомно кастомим!
Ну прелесть просто.
| | |
|
| 3.57, Аноним (57), 15:12, 06/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
 С таким подходом можно и дырку в штанах сзади сделать. Какой-нибудь гей-гомогей сам после этого справится.
| | |
| |
| 4.67, User (??), 18:26, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Арчевод-затейник? Чот мне подсказывает, что так ты себе партнёра не найдёшь...
| | |
|
|
| 2.36, Аноним (36), 12:40, 06/04/2026 [^] [^^] [^^^] [ответить]
| +5 +/– |
На самом деле именно подобное - самый правильный подход. Заменять ключевые компоненты системы надо когда альтернатива стабильна, а не тащить полу-готовый прототип в умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными билд-опциями).
Сначало оно должно работать....
| | |
| |
| 3.41, Аноним (39), 12:47, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
> умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными
> билд-опциями).
> Сначало оно должно работать....
У вас никто ничего не занимал - поэтому никтом вам ничего не должен. Но вы можете потребовать свои деньги назад. И не, спецом ради всяких некрофилов "мытакривыклиничегомеенятьненадо!!!111" никто мир на паузу не поставит.
| | |
| 3.55, Аноним (55), 14:40, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот пайпварь почти лишняя в этом списке - очень хорошо работает и проблем минимум.
| | |
| 3.58, px (??), 15:33, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Это немного безумно, в контексте обсуждения Арча. Для любителей полежалых версий, есть огромное количество других дистрибутивов
| | |
| 3.68, АнонимКо (?), 18:30, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
> На самом деле именно подобное - самый правильный подход. Заменять ключевые компоненты
> системы надо когда альтернатива стабильна, а не тащить полу-готовый прототип в
> умолчания (привет вейланд, пульсаудио, пайпварь, самое свежее ядро с его експериментальными
> билд-опциями).
> Сначало оно должно работать....
Вы тут со всех сторон правы, за исключением одного - это всё не про Арчик!
Арчик это про "с пылу с жару, только из под апстрима" и погнали забеги по граблям в погоне за ловлей блох! Блидинг эдж, мать его. xD
| | |
|
| 2.48, Жироватт (ok), 13:12, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Если оно работает и решает свою задачу - то зачем менять без веской причины?
| | |
| 2.63, Аноним (63), 17:57, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Пакет iptables-nft существует сто лет в обед. Кому горело - перешел на него сразу. Кто не хотел, имел время наподумать / освоиться с новым.
| | |
|
| |
| 2.23, blkkid (?), 11:36, 06/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
ufw лежит на уровень выше, ему только интерфейс iptables для работы нужен, что там на самом деле считает правила - без разницы
| | |
| 2.30, Аноним (-), 11:58, 06/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Использую ufw. Надеюсь его не поломали.
Эта байда для совсем уж пользователей windows firewall. Кусок крапа на питоне спамящий в сислоги.
| | |
| 2.37, Аноним (36), 12:43, 06/04/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Переходи на Opensnitch - им можно выборочно настроить какие бинарники и с какими опциями пу скать в сеть (с интерактивным запросом), плюс класические правила, плюс гуй.
| | |
| |
| 3.65, Аноним (63), 18:02, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Одно другому не мешает. Можно классическим iptables/nft фильтровать все входящие и проходящие, а снитчем - исходящие от приложений.
| | |
|
|
| 1.5, Аноним (5), 09:31, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –9 +/– | |
> Пакет iptables-nft переименован в iptables, а пакет с классическим iptables в iptables-legacy.
То есть в имени пакетов врут.
Если ваша идея так хороша, зачем вам требуется врать для её продвижения?
| | |
| |
| |
| 3.24, Анрнип (?), 11:54, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
| | |
| |
| 4.31, Аноним (-), 11:59, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Попытка съехать с темы полностью провалилась. И лишь подтвердила недолёкость решений арча.
Вообще-то iptables-nft это как таковой iptables - портированый на бэкэнд NFT. А классический бэк это вообще легаси махровое.
| | |
| |
| |
| 6.43, Аноним (39), 12:49, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> Сломается все равно всё у всех. Всё что может сломаться.
Не знаю что там у кого сломается, я уж эн лет как фигачу nft в нативном его режиме и мне попытки сэмулировать привычный интерфейс путем првязки вожжей к рулю вообще не очень то и нужна. Я и напрямую nft покомандую на отлично. И ничего особо не ломается.
А то что раз в ..цать лет я разучил иной файер - зато и возможностей получил немеряно.
| | |
|
|
|
|
|
| |
| 2.17, Аноним (17), 10:43, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Даже Debian перешёл на nft по умолчанию. Думал раз Debian перешёл, так наверное все уже давно на nft. А тут то, корова прогрессивнее крокодила!
| | |
|
| 1.10, баламарес (?), 10:08, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
прямо все такие вумные здесь, только забыли про правило: работает - не трож!
как в ядре очередной раз че-нить нааптимизируют и начнет это ваш nft тормазить.
| | |
| |
| 2.15, Аноним (15), 10:29, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>только забыли про правило: работает - не трож!
Такое правило в ходу только у мальчиков компьютерщиков. Которые не понимают что делают. И если у них что то заработало то они над этим трясутся и боятся трогать, так как может сломаться. А починить они не в силах. Порой даже не обновляют.
Более менее грамотные специалисты меняют систему под изменившиеся обстоятельства.
| | |
| |
| 3.19, User (??), 11:00, 06/04/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Теперь понятно: почему у более-менее грамотных специалистов система не работает, пока обстоятельства не прекратят изменяться.
| | |
| 3.50, Аноним (50), 13:46, 06/04/2026 [^] [^^] [^^^] [ответить] | +/– | Такое правило у всех, кто из школьного возраста вышел, и вылупился из ноутаферов... большой текст свёрнут, показать | | |
|
|
| 1.20, Аноним (20), 11:20, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>Для восстановления правил после замены реализации iptables следует проверить файлы /etc/iptables/iptables.rules.pacsave и /etc/iptables/ip6tables.rules.pacsave. Пользователям рекомендуют внимательно оценить работоспособность используемых правил межсетевых экранов и при необходимости откатиться на пакет iptables-legacy.
Типичный рач. В NixOS, когда в системе что-то меняют, при пересборке системы возникает ошибка, пользователь остаётся на старой, заведомо рабочей сборке и сразу же видно, что нужно пойти в конфиг и отредактировать его руками. В арче, нужно во-первых читать новости, а во-вторых, руками внимательно оценивать не отвалилось ли что.
| | |
| |
| 2.27, Анрнип (?), 11:57, 06/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
В этом и заключается игра в Арч, что пользуешься компьютером и постоянно чинишь то что итак раньше работало в случайное время.
| | |
| |
| 3.47, Жироватт (ok), 13:10, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Где вы так умудряетесь систему ломать в раче, чтобы приходилось её *чинить*?
Нет, даже интересно, лол.
| | |
| |
| 4.49, Аноним (49), 13:26, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Недавно, вот, в арче обновился Clover, что до этого пару лет стоял и есть не просил, и внезапно перестал видеть /boot/ на btrfs, хотя и конфиги на месте, и модуль для btrfs он себе установил - вот не видит и всё тут. Благо, что неподалёку был раздел на FAT32 - ядро вручную туда скинул и тогда всё поехало.
| | |
| 4.64, анон (?), 17:59, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Ничего особенного делать не надо, просто "pacman -Syu". Какие гарантии есть что это ничего не сломает?
| | |
| |
| 5.73, я знаю что это (?), 21:43, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Гарантий нет. Недавно столкнулся с тем, что ядро обновилось вперед компилятора, изза чего система перестала стартовать. С этим косяком сталкиваюсь не впервой, но он происходит редко. Лечится чрутом и повторной попыткой обновления, где и выскакивает запоздалый пакет llvm или gcc.
| | |
|
| 4.72, ЛщЛ (?), 20:17, 06/04/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Где вы так умудряетесь систему ломать в раче, чтобы приходилось её *чинить*?
> Нет, даже интересно, лол.
В смысле, достаточно просто им пользоваться на постоянной основе, а не на ютубе проходить! ;)
| | |
|
|
| 2.52, Аноним (50), 13:54, 06/04/2026 [^] [^^] [^^^] [ответить] | +/– | Я вам страшную тайну открою, мусье набрасыватель неправды Когда в NixOS что-то ... большой текст свёрнут, показать | | |
| 2.59, Аноним (20), 15:47, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>и для того чтобы ему выяснить, как же починить то, что в нормальных дистрах здорового человека не ломали бы
Вот ни разу никто так и не написал, что там у него поломали, что он никак починить не мог.
| | |
| 2.66, Аноним (63), 18:10, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Классический NixOS, это когда его пользователи не знают, как оно всё в их волшебном декларативном конфиге вообще работает. Всё равно завтра всё опять поменяется до неузнаваемости.
А в Арче обычный пользователь сначала прочитает 'man pacman', и потом, обновлясь, следит за появлением .pacnew и мержит - 'man pacdiff'. И ничего у него десятилетиями не отваливается.
| | |
|
| 1.21, Bob (??), 11:28, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Хоть бы мелкую сводку по nftables добавили)
Nftables:
1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
2) весь набор правил применяется как одно, а не по отдельности
3) есть sets и maps - удобная работа с огромным списком правил
| | |
| |
| 2.32, Аноним (-), 12:06, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
> Хоть бы мелкую сводку по nftables добавили)
> Nftables:
> 1) один инструмент, вместо 4х (iptables, ip6tables, arptables, ebtables).
> 2) весь набор правил применяется как одно, а не по отдельности
> 3) есть sets и maps - удобная работа с огромным списком правил
4) Офоад разрюханых flow чтоб не жевать пакеты.
5) Нормальный интерфейс nfqueue позволяющий внешними приблудами рюхать пакеты и потоки.
Не то чтобы это предел мечтаний, просто у остальных еще хуже.
| | |
| 2.35, rm1 (?), 12:34, 06/04/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
958) синтаксис максимально удолбанный и неудобный, по сравнению с тем что было раньше
| | |
| |
| 3.38, Аноним (36), 12:44, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
ты всегда можешь пользоватся старым интерфейсом с новым движком
| | |
| 3.44, Аноним (39), 12:50, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
> 958) синтаксис максимально удолбанный и неудобный, по сравнению с тем что было
> раньше
Только для тривиальных сетапов. Чуть менее тривиальные - и все ровно наоборот. Айпитаблес становится ужасным спагетти.
| | |
| 3.70, Аноним (70), 19:46, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
Если программировать умеешь -- отличный синтаксис, удобный и понятный. Проблемы с nft у тех, кто только со стаковерфлоу умеет готовые заклинания копипастить. Вот для этого случая синтаксис у nft совсем плохой.
| | |
|
|
| 1.34, Аноним (34), 12:14, 06/04/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Одними словом смузиненужно.
Ты попутал берега. nftables это тру.
В связи с этим возник вопрос. nftables в ядре и отдельно существующий пакет nftables чем-то отличаются? Как они в связке работают? Ну понятно что пакет - это юзерспейс.
| | |
| |
| 2.51, НяшМяш (ok), 13:52, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– |
 iptables-nft конвертирует классические правила iptables для работы поверх nftables. Для тех, у кого много легаси и просто не хочет переходить на новый формат. Эти пакеты не заменяют друг друга, а дополняют. У кого сразу все правила в nft, iptables могут даже не ставить.
| | |
| |
| 3.74, Аноним (74), 22:00, 06/04/2026 [^] [^^] [^^^] [ответить]
| +/– | |
> iptables могут даже не ставить.
Ты не сможешь не ставить iptables, так как это жёсткая зависимость iproute2, что в свою очередь является такой же зависимостью base в Arch. Можно, конечно, выпилить принудительно, но это уже совсем другая песня.
| | |
|
|
|
